GitHub reforça a segurança com autenticação de dois fatores (2FA) para desenvolvedores

github-vulnerabilidade-critica-expoe-mais-de-4-000-repositorios-a-ataques-de-repojacking

A segurança cibernética é uma preocupação constante em um mundo cada vez mais digital. Contudo, embora a tecnologia tenha avançado significativamente na luta contra ameaças sofisticadas, não podemos negligenciar o básico em segurança. Dito isso, para proteger o ecossistema de software, é essencial garantir que os desenvolvedores que criam e mantêm os códigos estejam protegidos. Assim, o GitHub, uma das maiores plataformas de desenvolvimento colaborativo, está liderando essa iniciativa.

Elevando o Padrão de Segurança

O GitHub reconhece sua posição única para melhorar a segurança da cadeia de suprimentos de software. Mike Hanley, CSO e SVP de Engenharia do GitHub, explica: “A autenticação multifator (2FA) continua sendo uma das melhores defesas contra o roubo de contas e comprometimento da cadeia de suprimentos. Por isso, estabelecemos uma meta ambiciosa: até o final de 2023, todos os usuários que contribuem com código no GitHub.com devem habilitar pelo menos uma forma de 2FA.”

Resultados Significativos

Desde a implementação do 2FA obrigatório em março de 2023, o GitHub observou resultados impressionantes. Quase 95% dos contribuidores de código aderiram ao requisito. Além disso, houve um aumento de 54% na adoção de 2FA entre todos os contribuidores ativos na plataforma.

Passkeys: A Escolha Segura

Um dos pontos-chave dessa iniciativa foi incentivar os usuários a adotarem métodos mais seguros de 2FA. As passkeys se destacaram como uma opção confiável, oferecendo a combinação ideal de segurança e usabilidade. Desde o lançamento das passkeys em julho de 2023, mais de 1,4 milhão delas foram registradas no GitHub, superando outras formas de 2FA suportadas pelo Webauthn.

O CSO Mike Hanley enfatiza a flexibilidade oferecida pelo GitHub: “Embora as passkeys tenham sido bem-sucedidas, continuamos a fornecer alternativas, como o SMS, para usuários que não têm acesso à tecnologia das passkeys. No entanto, nossos fluxos de integração foram projetados para incentivar escolhas mais seguras sempre que possível.”

Mais Segurança, Menos Bloqueios

Os dados mostram que os usuários que configuram dois ou mais fatores de autenticação têm 47% mais chances de manter suas contas seguras. Cada fator adicional reduz a probabilidade de bloqueio, proporcionando uma experiência tranquila e confiável.

Experiência do Usuário Aprimorada

O GitHub investiu em melhorias significativas para garantir que a segurança não prejudique a experiência do usuário. Fluxos de integração de 2FA atualizados e 2FA no GitHub mobile resultaram em um terço menos tickets de suporte relacionados ao 2FA.

Em resumo, o GitHub está liderando o caminho para uma cadeia de suprimentos de software mais segura, protegendo tanto os desenvolvedores quanto os usuários finais.

Segurança de milhões de desenvolvedores através do 2FA

Embora a tecnologia tenha avançado significativamente para combater a proliferação de ameaças de segurança sofisticadas, a realidade é que prevenir o próximo ciberataque depende de acertar os fundamentos da segurança. Os esforços para proteger o ecossistema de software devem focar nos desenvolvedores que projetam, constroem e mantêm o software em que todos nós confiamos. Como lar da maior comunidade de desenvolvedores do mundo, o GitHub está em uma posição única para melhorar a segurança da cadeia de suprimentos de software.

Em maio de 2022, introduzimos uma iniciativa para elevar o padrão de segurança da cadeia de suprimentos, começando pelo primeiro elo dessa cadeia: a segurança dos desenvolvedores. Porque a autenticação multifator forte continua sendo uma das melhores defesas contra a invasão de contas e subsequente comprometimento da cadeia de suprimentos, estabelecemos uma meta ambiciosa: até o final de 2023, exigir que os usuários que contribuem com código no GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA).

O que se seguiu foi um ano de investimentos em pesquisa e design para implementar esses requisitos, otimizando a experiência para os desenvolvedores. Gradualmente, implementamos essas mudanças para garantir que os usuários fossem bem-sucedidos ao adotar o 2FA à medida que continuávamos a expandir nossos requisitos. Embora nossos esforços para tornar os desenvolvedores o mais seguros possível no GitHub.com não terminem aqui, hoje compartilhamos os resultados da primeira fase de nossa inscrição no 2FA e incentivamos outras organizações a implementarem requisitos semelhantes em suas próprias plataformas.

Resultados

Estamos orgulhosos das conquistas iniciais da iniciativa de 2023 e do impacto que terão na segurança do ecossistema de software:

  1. Aumento dramático na adoção do 2FA no GitHub.com, com foco nos usuários que têm o maior impacto na cadeia de suprimentos de software.
  2. Usuários adotando métodos mais seguros de 2FA, incluindo passkeys.
  3. Redução líquida no volume de tickets de suporte relacionados ao 2FA, resultado de pesquisas e design aprofundados e melhorias nos processos de suporte ao cliente.
  4. Outras organizações, como RubyGems, PyPI e AWS, se uniram a nós para elevar o padrão para toda a cadeia de suprimentos de software, provando que aumentos significativos na adoção do 2FA não são um desafio insuperável.

Desde que começamos a implementar o 2FA obrigatório em março de 2023, vimos uma taxa de adesão de quase 95% entre os contribuidores de código que receberam o requisito de 2FA em 2023. Isso resultou em um aumento de 54% na adoção do 2FA entre todos os contribuidores ativos no GitHub.com. Além disso, incentivamos os usuários a adotarem métodos mais seguros de 2FA, especialmente as passkeys, que oferecem a melhor combinação de segurança e usabilidade.

Olhando para o Futuro

A indústria ainda tem um trabalho importante a fazer para apoiar os usuários que podem não ter acesso a um celular ou controle sobre o software do computador que usam para adotar o 2FA. Como uma plataforma global, acreditamos que todos devem ter acesso a ferramentas que tornem o desenvolvimento de software mais fácil e seguro. Nosso objetivo é encontrar soluções para proteger os desenvolvedores, os projetos em que trabalham e as comunidades em que participam, sem restringir aqueles com configurações ou ambientes diferentes ao redor do mundo.

Os próximos passos da plataforma incluem avaliar como exigir que ainda mais usuários do GitHub.com se inscrevam no 2FA durante 2024, enquanto continuamos a monitorar e melhorar a experiência do usuário. Também estamos estudando recursos adicionais de segurança de conta, como sessões e vinculação de tokens, para ajudar desenvolvedores e suas organizações

Acesse a versão completa
Sair da versão mobile